Siasatan akademik telah mendedahkan bahawa mekanisme WhatsApp biasa boleh digunakan untuk menyemak, pada skala industri, nombor yang mempunyai akaun pada aplikasi. Hasilnya? Koleksi daripada kira-kira 3.500 bilion nombor telefonDalam perkara yang disifatkan oleh pengarang sendiri sebagai pembentangan jenis data ini yang belum pernah terjadi sebelumnya, karya itu diterbitkan oleh saluran media khusus. Berwayar dan ditandatangani oleh penyelidik dari Universiti Vienna, menunjukkan bahawa ia sudah cukup untuk mengautomasikan fungsi penemuan kenalan untuk berulang berbilion kombinasi dan tandakan mana yang mengembalikan kiraan yang sah.
Kelemahan mana yang dieksploitasi
Tumit Achilles bukanlah penyulitan mahupun a mengeksploitasi kompleks, tetapi logik untuk menyemak sama ada telefon dalam perkhidmatan. Dengan memberi cek itu dengan urutan nombor yang besar, para penyelidik dapat mengesahkan akaun pada kadar yang sangat tinggi, mencapai sekitar 100 juta cek sejam dan mendapatkan untuk mengekstrak yang pertama 30 juta nombor AS dalam masa setengah jam sahaja.
Vektor utama ialah versi pelayar WhatsApp, di mana sistem anti-kawalanmengikis Pertanyaan automatik tersebut tidak dihentikan pada masa itu. ini penghitungan nombor Keberkesanannya digandakan di negara yang mempunyai awalan dan format yang boleh diramal atau di mana penggunaan perkhidmatan meluas.
Data apa yang masih tersedia
Selain mengesahkan telefon yang mempunyai akaun, proses itu membenarkan pengumpulan metadata awam yang berkaitan: gambar profil dalam 57% kes dan teks status dalam a 29% Dari sudut teknikal, tidak ada pelanggaran penyulitan hujung ke hujung, jadi Mesej peribadi tidak dikompromi sekurang-kurangnya..
Meta mengekalkan bahawa apa yang dibentangkan ialah "maklumat asas yang tersedia untuk umum" dan menekankan elemen yang dikonfigurasikan sebagai peribadi oleh pengguna (contohnya, Urus gambar profil anda terhad kepada kenalan) Ia tidak ditunjukkanWalaupun begitu, skala pengumpulan menjadikan data tersebut sebagai sasaran yang berharga untuk kempen kejuruteraan sosial.
Amaran yang telah berada di atas meja selama bertahun-tahun.
Kemungkinan untuk menghitung nombor bukanlah perkara baru. Pada tahun 2017, penyelidik Loran Kloeze telah menunjukkan risiko pendekatan ini dan meminta langkah untuk menanganinya. Lapan tahun kemudian, pasukan Vienna mengambil idea itu secara besar-besaran dan menunjukkan sejauh mana ia boleh pergi. hubungi automasi penemuan jika brek yang betul tidak dipasang.
Penulis telah menyatakan bahawa mereka memberitahu Meta melalui program bounty bug dan itu Mereka memadam pangkalan data selepas ujian. Kajian itu juga menyatakan bahawa, apabila pendedahan ini berpanjangan dari masa ke masa, beberapa maklumat kekal berguna beberapa tahun kemudian.
Maklum balas meta dan situasi semasa
WhatsApp menunjukkan bahawa ia sudah pun bekerja pada anti-pertahananmengikis dan bahawa, sebagai hasil daripada penyiasatan, ia mengukuhkan had kekerapan untuk mengelakkan penghitungan besar-besaran. Syarikat itu mendakwa telah menemui no bukti penyalahgunaan oleh pelakon berniat jahat melalui vektor ini dan menekankan penyulitan itu hujung ke hujung Ia kekal utuh.
(FAIL) Gambar menunjukkan logo kumpulan Meta teknologi AS semasa pameran teknologi dan inovasi pemula Vivatech di pusat pameran Porte de Versailles di Paris, pada 14 Jun 2023. Ketua pegawai teknologi Meta segera menolak dakwaan bahawa syarikat itu telah ketinggalan di belakang pesaing seperti ChatGPT dalam lonjakan letupan merentasi industri teknologi dalam AI generatif. "Majoriti penduduk dunia akan mendapat pengalaman pertama mereka dalam kecerdasan buatan generatif dengan kami," kata Andrew "Boz" Bosworth kepada AFP pada persidangan Connect syarikat baru-baru ini untuk pemaju. Syarikat yang memiliki Facebook dan Instagram telah dilihat sebagai saingan yang ketinggalan seperti Microsoft dan Google, yang telah menolak produk AI generatif dan melabur banyak dalam teknologi yang dilihat sebagai kuasa yang bersedia untuk membentuk masa depan. (Foto oleh ALAIN JOCARD / AFP)
Menurut penyiasat, pemberitahuan itu berlaku beberapa bulan lalu dan pertahanan baharu telah digunakan kemudiannya. Soalan terbuka ialah sama ada, di luar mengehadkan kadar, reka bentuk berdasarkan nombor telefon sebagai pengecam utama (contohnya, berbanding dengan nama pengguna) adalah mampan dalam jangka panjang.
Potensi risiko yang berkaitan dengan kerentanan ini
Senarai besar nombor telefon yang dikaitkan dengan akaun, dengan foto dan status dalam banyak kes, Ia memudahkan serangan yang lebih tepatAntara senario yang mungkin, risiko berikut menonjol:
- Kejuruteraan sosial dan penipuan yang disasarkanGabungan nombor, foto dan teks status membolehkan pemperibadian penipuan dan penyamaran yang lebih boleh dipercayai.
- Doxxing dan gangguanMengenal pasti orang berdasarkan data yang terdedah dalam profil meningkatkan potensi bahaya.
- Pendedahan di negara yang mempunyai sekatanDi mana penggunaan aplikasi boleh membawa kepada penalti, hanya pengesahan bahawa nombor ada di WhatsApp menambah risiko.
- Kegigihan dari semasa ke semasaBeberapa nombor yang hadir dalam kebocoran lalu masih aktif, yang memanjangkan kegunaan pangkalan data ini untuk kempen akan datang.
Bagaimana untuk melindungi akaun anda sekarang
Tidak mustahil untuk menyembunyikan nombor anda daripada mereka yang sudah mengetahuinya, tetapi anda boleh mengurangkan perkaitannya dengan elemen pengecam. Melaraskan keterlihatan profil anda mengehadkan nilai penomboran masa hadapan dan merumitkan proses. penyesuaian seranganIkut langkah ini jika anda ingin "melindungi" akaun anda dengan lebih baik:
- Buka WhatsApp tetapan dan ketik pada Privasi.
- En Foto profil e Info.Pilih "Kenalan saya" (atau "Tiada sesiapa" jika anda lebih suka privasi maksimum).
- Elakkan memasukkan pautan atau data sensitif dalam teks status.
- Aktifkan pengesahan dua langkah Dan berhati-hati dengan mesej yang meminta kod atau wang, walaupun ia kelihatan mesra.